专利名称:保护从初始源中分离后的压缩内容的制作方法
技术领域:
本发明主要涉及消费电器领域,具体而言是涉及保护被保护拷贝的内容材料。
2.相关技术描述已经建议了多个用于防止内容材料(诸如音频或视频记录)未授权拷贝和未授权分发的系统。安全数字音乐开始(SDMI)等提倡使用“许可的顺从性模块”(LCM)来控制被保护材料的记录和分发。LCM典型地以一种安全形式(诸如加密形式)将被保护材料存储在一个本地存储器设备中。当用户希望将内容材料提供给另一个设备(如便携式播放设备)时,LCM验证该PD是一个可顺从设备,并在意见一致或得到许可的条件下,将内容材料提供给该设备。在一个典型的实施例中,LCM包括一个登记/登出过程,其中维护为提供给PD的每个被保护材料的每个拷贝维护一个日志。当PD“登记”材料时,就从PD中取出该材料,并更新日志。如果被保护材料例如包括一个“一次一个拷贝”的限制,则直到返回了一个先前拷贝,LCM才提供被保护材料的另一个拷贝。
已经建议了各种用于保证LCM只接收和存储被保护材料的授权拷贝的技术。这些安全技术主要致力于提供一种区分通过互联网分发的未授权拷贝材料的手段。通常以压缩形式来分发通过互联网分发的材料,以最小化用于下载该材料的带宽需求,并且至少一个安全系统是基于压缩格式的检测或者已经被压缩的未压缩格式的检测。
安全数字音乐开始等提倡使用“数字水印”来标识授权内容材料。Antonius A.C.M.Kalker于2000年3月发布的EP 0981901“Embeddingauxiliary data in a signal(信号中的嵌入式辅助数据)”公开了用于为电子材料加水印的技术,在此将它包含作为参考。象在纸上水印副本中一样,将一个数字水印嵌入到内容材料中以能够被检测到,但是不引人注目的。含有水印的数字音乐记录的音频播放基本上无法区别于没有水印的同一记录的播放。不过,水印检测设备能够基于是否存在水印来区分这两个记录。如果不破坏内容材料就无法将一个“强”水印从内容材料上清除。相反,一个“弱”水印,正象其名字所隐含的,是一个当对该内容材料做了任何改变时,能够被破坏或损坏的水印。通过用一个强和一个弱水印对被包含的材料编码,一个LCM能够检测到该材料是被保护的材料(通过强水印的存在),并且还能够检测到该材料是否曾被压缩或者被破坏(通过没有弱水印)。
不过,弱水印保护假设所有授权的内容材料的拷贝都是未压缩形式的。不过,随着压缩格式的普及,正在生产提供压缩格式输出的消费者设备。例如,个人计算机上的应用程序可以用于读激光唱盘(CD)以及将来自CD的歌曲以压缩形式(通常是MP3)存储到硬盘驱动器存储单元中。同样,CD播放器可以获得或者很快将可以获得用于将歌曲的数字传送到其它设备(如LCM)的直接MP3或类似的输出。在该方案中,用来的来自一张用户购买的CD的一首歌曲的授权拷贝将无法与来自互联网的一首歌曲的未授权的拷贝区分开,因为这两个拷贝都具有强水印,而不是弱水印。
发明内容
本发明的一个目的是提供一种方法和系统,用于保护内容材料在从其初始源中取出或拷贝之后,免于被非法拷贝和/或分发。本发明的另一个目的是提供一种方法和系统,用于对于本地产生的压缩文件和从远程源(如互联网站点)分发的文件进行区分。
通过将合法地从一个源提取内容材料的设备捆绑到一个在被保护拷贝材料分发中执行拷贝保护方案的顺从性模块,可以达到上述以及其它的目的。之后,提取内容材料的设备将内容材料捆绑到执行拷贝保护方案的顺从性模块。通过将合法提取器捆绑到执行拷贝保护的分发模块,其它潜在未授权的来自其它提取设备的提取内容可以被区分。因为使用将合法提取器捆绑到分发模块来区分合法提取内容,而不是提取内容的编码特性,诸如弱水印的存在或者不存在,所以合法提取器可以被配置来提供任何编码,包括最小化带宽和存储器需求的压缩编码。提取设备到分发模块的捆绑可以是物理的或逻辑的。物理捆绑依赖于系统的物理完整性,以保证可选源无法接入分发模块。逻辑捆绑依赖于密码技术,以保证只有授权的提取器才被捆绑到分发模块。
附图简述参考附图举例详细描述本发明,其中
图1是根据本发明的安全提取和分发系统的示例框图。
图2是根据本发明的可以替代的安全提取和分发系统的示例框图。
图3是根据本发明的、提供内容材料的安全通信的提取设备和分发模块的示例框图。
在各图中,相同的参考编号指相似的或相应的特征或功能。
发明详述图1说明了根据本发明的安全提取和分发系统100的示例框图。系统100包括顺从性提取设备110和顺从性分发模块120。“顺从性”部件是遵守所建立的安全协议的部件,如遵守SDMI规范。例如,顺从性提取器确认与初始源材料相关的分发和拷贝限制,只提取被授权部分的内容材料,传送与每个提取一起的任何分发或拷贝限制。在SDMI术语中,提取设备110通常称作“撕裂者(ripper)”,分发模块120作为“得到许可的控制模块”或“LCM”。提取设备110被配置从被保护或不被保护的数据的源101中提取一个或多个数据项。在本发明中,下面讨论被保护数据的提取和处理。
在SDMI中,所提取的数据项是来自CD或其它媒体的唱片集的一首或多首歌曲的提取。分发模块120被配置以便于维护在本地存储设备130上的数据项(例如歌曲)的收集,并便于将各数据项分发到其它设备140(通常是便携式或固定播放设备)。在其它情况下,分发模块120还被配置以便于将数据项分发到其它记录设备或其它分发系统。MichaelEpstein于2000年4月13日提交的序列号为09/548,728(律师案卷号为PHA-23,671)共同未决的美国专利申请“NEW PROTOCL FOR SECUREREGISTRATION OF MUSIC(or and data)IN A CHECK IN CHECK OUT SYSTEM(用于登入登出系统中的音乐(或任何数据)的安全登记的新协议)”描述了一种方法和系统,用于限制在播放设备中被保护的内容材料的分发以确认被许可的分发权,并将它包含在此作为参考。
根据本发明的第一方面,提取设备110和分发模块120被捆绑在一起,以便提取设备110只提供捆绑到顺从性分发模块120的被提取的数据项,并且分发设备120只接受通过顺从性提取设备110捆绑到其上的数据项。
一个顺从性部件包含表示其本身是一个顺从性部件的装置。典型地,一个顺从性部件含有一个被“委托授权机构”“鉴定”的标识符。该授权委托机构使用只有它自己知道的私有密钥数字地签署识别顺从性部件的该证书。根据本发明,顺从性部件110、120还包括授权委托机构用于验证数字签名的公共密钥,并且每个设备的标识符对应于与每个部件110、120相关的一个公共密钥。本领域中常见的是,每个部件110、120还包含作为公共-私有密钥对的对应于被鉴定的公共密钥的一个私有密钥。
为了将两个部件110、120逻辑地捆绑在一起,使用一个密码鉴权过程,如双向箭头150所示。每个部件110、120通过150将其被鉴定的公共密钥传送给其它的120、110,并且每个部件110、120验证该被传送的公共密钥已经由授权委托机构鉴定。为了验证其它部件是由证书标识的顺从性部件,使用竞争-响应协议。第一个部件发送一个随机数到第二个部件(竞争)。第二个部件使用其私有密钥对该随机数加密,并将被加密的数发送回第一个部件(响应)。第一个部件使用第二个部件的被鉴定的公共密钥对该被加密的数进行解密。如果被加密的数的解密与初始发送的随机数匹配,则第二个部件被验证为被鉴定的部件,因为只有第二个部件知道对应于其被鉴定的公共密钥的私有密钥。然后,由第二个部件重复该竞争-响应过程,以验证第一个部件是对应于被传送给第二个部件的被鉴定的公共密钥的部件。也可以替代地使用本领域中常见的用于验证一个顺从性设备的标识的其它技术。在一个优选实施例中,竞争-响应过程包括在每个阶段的超时限制,以检测一个从远程源(例如从互联网站点)复制被保护材料的尝试。可以期待一个本地提取和分发部件在几微秒内提供一个响应给竞争,而可以期待一个远程部件需要几毫秒或更多时间将响应传送回远程竞争设备。
注意,如果另一个提取源180不是一个顺从性设备,则上述鉴权过程将失败,如虚线箭头150’所示,且分发模块120将不接受来自源180的内容材料。
在鉴别了分发模块120是一个顺从性模块之后,提取设备110发送被提取的内容材料并数字地签署该发送。顺从性分发模块120不接受将内容材料另外传输,除非该内容材料的数字签名对应于被鉴别的提取设备110的签名。以这种方式,如果一个可选的源180试图替换材料,如虚线181所示,则在顺从性提取设备满足鉴权过程之后,顺从性模块120将识别到该替代,因为被替代的材料将不能被提取模块110数字签署。在一个优选实施例中,使用一个超时键来阻止被重复的使用,或者使用一个安全邮戳来保证被签署的材料来自最近竞争的提取设备。
也可以使用其它安全技术来保证设备110和模块120之间的捆绑保持是安全的。图3表示提供内容材料的安全传送的提取设备110和分发模块120的示例框图。提取设备110和分发模块120中的捆绑器330和350分别实现上述的密码鉴权过程,并产生一组密钥,Key1和Key1’。最好是使用本领域常见的诸如Diffie-Hellman交换的密钥交换来提供一个由提取设备110使用的密钥-Key1,并提供一个由分发模块120使用的密钥-Key1’。Key1和Key1’可以相同,或者每一个是一个非对称密钥对的相应密钥。提取设备110使用被交换的密钥-Key1(通常称作“会话密钥”)对被提取的内容材料加密。在一个优选实施例中,分发设备120存储被加密的材料,还存储用于对被加密的材料加密的会话密钥。之后,分发模块120通过解密器370,使用所存储的与所存储的被加密材料相关的会话密钥-Key1’,按照要求对被加密的材料进行解密。配置一个可选的再现器380再现被解密的内容材料,以直接呈现给用户。
同样在一个优选实施例中,配置播放设备140对被提取的内容材料解密。在该实施例中,分发模块120使用在模块120和播放设备140之间建立的第二个会话密钥-Key2对会话密钥-Key1’加密。之后,被加密的内容材料和被再加密的初始会话密钥被传送给播放设备140。播放设备140使用第二个会话密钥-Key2对被加密的初始会话密钥解密,然后使用该被解密的会话密钥-Key1’对被加密的所提取的内容材料解密。可替代地,来自解密器370的被解密的所提取的内容材料由解密器360使用第二个会话密钥-Key2再加密,并且播放设备140被配置以直接对该被再加密的内容材料解密。
将提取设备110捆绑到分发模块120的另一个方法是如图2所示物理地捆绑这些设备。在图2的系统100’的另一个替代实施例中,一个顺从性提取设备110’被物理地捆绑到分发模块120’。可以采用各种技术来保证该捆绑的安全性。在一个优选实施例中,系统100’包括一个窜改检测设备,诸如连接到一个捆绑部件110’和120’的外壳的易碎设备。可替代地,可以建立一个集成电路,它包括提取设备110’的输出级和分发模块120’的输入级,以便两个设备110’和120’之间的实际接口点无法被接入以插入一个替代的、潜在非法的对被保护材料的拷贝的拷贝。另一个替代方案是只依赖于缺乏一个外在的接口端口,以阻止通过从互联网站点下载来“偶然地”窃取被保护材料的拷贝。也就是,如果提取设备110’和分发模块120’在单个的外壳中,没有明显的或外部互连点,则大多数用户将无法打开该外壳、解密该设计来确定接口点并修改电路板以允许插入一个违法的歌曲拷贝。反之,通过部件110和120之间的外部连接(诸如图1所示)拔出一个合法源并插入一个非法源将被认为是合法地可能的情况。
同样,如果提取设备110’是软件应用程序,如从个人计算机上的CD或DVD读内容材料并按照常规地将诸如MP3文件的压缩文件存储到硬盘驱动器上的应用程序,则根据本发明的这个方面,分发模块120’被包括在相同的软件应用程序中.以这种方式,存储在硬盘驱动器上的材料最好是以加密形式被捆绑到分发模块120’。之后,如果并且只有如果硬盘驱动器上的材料对应于已经捆绑到设备120’的材料,分发模块120’才将材料提供到其它播放或记录设备140。以这种方式,通过另一个源180(如互联网连接)放置到硬盘驱动器上的材料将不被分发模块120’分发。
在本发明的另一个实施例中,捆绑过程出现在一点时间上,材料的实际通信出现在后来的时间。在鉴权过程中仍然要采用时间限制,以验证提取设备110和分发模块120物理上彼此靠近,但之后,提取设备110被配置以允许使用例如用于所有后来编码的密钥-Key1将被保护的材料基本上不受限制地传送到先前被验证的模块120。同样,提取设备110可以被配置来同意其遇到的第一个分发模块120的自动鉴权,从而最小化用于实现提取设备110和分发模块120之间的捆绑所需要的复杂度。在这个实施例中,提取设备110最好是被配置以只将被保护的材料提供给其遇到的第一个模块120,从而排除将提取设备110用作广泛分发材料拷贝的提供者。也就是,例如当用户获得一个提取设备110并将其连接到分发模块120时,初始连接被相对于该模块120自动验证,从而便于提取设备对于用户环境的易于使用以及高可靠的配置。不过,之后,用户被阻止使用该提取设备来将材料提供给其它用户的分发设备。为了允许对于用户系统后来的改变,提供一个一对一(one-for-one)的替代协议来允许分发设备120被另一个分发设备所替代,其中,在替代之后,后来的用提取设备110使用初始设备120的尝试将失败。在一个优选实施例中,初始设备120的标识符被放置到由提取设备110在替代之后所维护的“废除标识符”列表中。
在上面的每个实施例中,提取设备110还被配置来访问被废除鉴权标识符的一个外部源。当发现内容材料的未授权拷贝在被识别设备上产生时,这种被废除的鉴权将被发出。Michael Epstein于1999年8月9日提交的、序列号为09/370,489(律师案卷号PHA 23,743)共同未决的美国专利申请“UPDATING A REVOCATION LIST TO FOIL AN ADVERSARY(更新一个废除列表以阻止一个对手)”中描述了一种方法和系统,用于分发设备的被废除鉴权标识符列表,并将其包括在此作为参考。
以上只描述了本发明的原理。应当理解,本领域的技术人员能够设计出各种安排,它们尽管未被在这里明确地描述或示出,但也包括本发明的原理并在本发明的精神和范围之内。例如,一些拷贝保护方案依赖于在每个拷贝等级使用被“凿孔”的“票据”。Johan P.M.G.Linnartz等人于1999年4月7目提交的欧洲专利EP0906700“METHOD AND SYSTEMFOR TRANSFERRING CONTENT INFORMATION AND SUPPLEMENTALINFORMATION RELATED THERETO(用于传送内容材料和与其相关的附加信息的方法和系统)”提出了一种技术,用于通过使用水印“票据”来保护版权材料,该水印“票据”控制被保护材料被再现的次数,并将该参考文献包括在此作为参考。通过配置提取设备110也对票据“凿孔”并提供该票据的一个鉴定拷贝,可以将该方案包括在本发明中。可替代地,如果分发模块120提供一个标识符,则该标识符和票据可以由提取设备110一起签名。以这种方式,其它分发设备能够检测到对已签字票据的尝试的重用。这些以及其它系统配置和优化特征对于考虑本公开的本领域的普通技术人员来说是明显的,并且被包括在下列权利要求的范围之内。
权利要求
1.一种系统(100)包括一个提取设备(110),它被配置来接收被保护的内容材料,并从中提供一个对应于被保护内容材料的至少一部分的一个被提取的数据项,以及一个分发模块(120),它被配置来从提取设备(110)接收被提取的数据项,并存储该被提取的数据项以在后来传送到播放设备(140),其中提取设备(110)被捆绑到分发模块(120),以阻止分发模块(120)从除所述提取设备(110)之外的源或者另外的捆绑设备接受一个未授权的数据项。
2.如权利要求1的系统(100),其中由分发模块(120)存储的被提取数据项被捆绑到分发模块(120)。
3.如权利要求1的系统(100),其中通过一条物理连接来捆绑提取设备(110)和分发模块(120)。
4.如权利要求1的系统(100),其中通过一个密码过程来捆绑提取设备(110)和分发模块(120)。
5.如权利要求4的系统(100),其中密码过程包括一个超时限制。
6.如权利要求1的系统(100),其中提取设备(110)还被配置来压缩部分内容材料以构成被提取的数据项。
7.一种提取设备(110)包括一个提取器(310),它被配置来从一个初始源(101)提取被保护拷贝的材料的至少一部分,以构成一个被提取的数据项,以及一个捆绑器(330),它被配置来将被提取的数据项捆绑到后来的接收设备(120)。
8.如权利要求7的提取设备(110),其中捆绑器(330)包括一个鉴权设备,它被配置来验证后来的接收设备是遵守一个拷贝保护标准的设备,并且捆绑器(330)基于后来的接收设备(120)的验证来将被提取的数据项捆绑到后来的接收设备(120)。
9.如权利要求7的提取设备(110),还包括一个被配置来对被提取的数据项数字签名的签名设备。
10.如权利要求9的提取设备(110),其中签名设备还被配置来对与被保护拷贝的材料相关的拷贝限制的票据数字签名。
11.如权利要求7的提取设备(110),还包括被配置来对被提取的数据项加密的加密设备(320)。
12.如权利要求11的提取设备(110),其中加密设备(320)基于依赖于由后来的接收设备(120)提供的参数的会话密钥来对被提取的数据项加密。
13.如权利要求7的提取设备(110),其中提取器(310)还被配置来压缩部分内容材料,以构成被提取的数据项。
14.被配置来从提取设备(110)接收被保护的内容材料的分发模块(120),包括一个捆绑器(350),它被配置来验证所接收的被保护内容材料被捆绑到分发模块(120)。
15.如权利要求14的分发模块(120),其中捆绑器(350)被配置来验证与被保护内容材料相关的数字签名,并且分发模块(120)基于数字签名的验证将被保护的内容材料提供到后来的接收机(140)。
16.如权利要求14的分发模块(120),还包括被配置来对被保护的内容材料加密的加密设备(360)。
17.如权利要求14的分发模块(120),其中提取设备(110)基于依赖于由分发模块(120)提供的一个参数的会话密钥来对被保护的内容材料加密,并且分发模块(120)还包括被配置来对会话密钥加密的加密设备(360)。
18.如权利要求14的分发模块(120),其中提取设备(110)基于依赖于由分发模块(120)提供的一个参数的会话密钥来对被保护的内容材料加密,并且分发模块(120)还包括被配置来基于会话密钥对被加密的被保护拷贝的材料解密的解密设备(370)。
全文摘要
合法地从一个源提取内容材料的设备被捆绑到顺从性模块上,该顺从性模块在被保护拷贝的材料的分发中执行拷贝保护方案。之后,提取设备(110)将被提取的内容材料捆绑到执行拷贝保护的顺从性模块(120)。通过将合法的提取器(110)捆绑到执行拷贝保护的分发模块(120),来自其它提取设备的其它潜在未授权的提取内容将被区分。因为使用将合法提取器(110)捆绑到分发模块(120)来区分合法提取内容,而不是提取内容的编码特性,诸如弱水印的存在或者不存在,所以合法提取器(110)可以被配置来提供任何编码,包括最小化带宽和存储器需求的压缩编码。提取设备(110)到分发模块(120)的捆绑可以是物理的或逻辑的。物理捆绑依赖于系统的物理完整性,以保证可选源无法接入分发模块(120)。逻辑捆绑依赖于密码技术,以保证只有授权的提取器(110)才被捆绑到分发模块(120)。
文档编号G06F21/44GK1350684SQ00807519
公开日2002年5月22日 申请日期2000年12月27日 优先权日2000年1月13日
发明者M·埃普斯坦 申请人:皇家菲利浦电子有限公司